Le contexte et l’ampleur de la cyberattaque qui vise l’Ukraine depuis le 14 janvier se précisent. D’après le renseignement et la police ukrainienne, les pirates ont notamment utilisé la faille Log4shell et une « supply chain attack ».

La menace se précise et l’inquiétude grandit en Ukraine. Dans son communiqué publié en début de soirée le 18 janvier 2022, le gouvernement ukrainien parle maintenant d’une cyberattaque qui cherche à faire le plus de dégâts aux différentes infrastructures du pays.

Cette vague d’attaques a commencé avec le piratage de sites gouvernementaux le 14 janvier 2022, mais la découverte d’un malware destructeur de données le 15 janvier par Microsoft a rapidement alerté sur une agression de plus grande ampleur.

Le malware est utilisé dans un but purement offensif, ce qui est inhabituel, car l’écrasante majorité des cyberattaques sont menées par des pirates dans un but mercantile. Des douzaines de cibles ont déjà été identifiées en Ukraine : branches du gouvernement, associations et entreprises de la tech.

La faille Log4shell utilisée par les attaquants

Le SBU, la grande agence du renseignement ukrainien (équivalent de la DGSI et de la DGSE), lie les deux évènements dans un communiqué diffusé lundi 17 janvier 2022. L’agence détaille également les vulnérabilités utilisées dans ces cyberattaques.

Parmi celles-ci, le SBU pointe une utilisation de la faille Log4shell. Cette vulnérabilité, découverte le 10 décembre 2021, touche une bibliothèque du langage informatique Java, Log4j, très répandue. Elle est particulièrement grave, car elle offre de larges possibilités d’attaque pour des pirates. Son exploitation a d’ailleurs déjà largement commencé dès la fin de l’année. L’utilisation d’une faille dans le système de gestion de contenus October CMS est aussi pointée du doigt.

Une « supply chain attack » pour toucher le gouvernement

Un autre mode opératoire identifié, que pointe également la police ukrainienne, est une « supply chain attack » : un type de cyberattaque qui passe par un sous-traitant pour toucher une multitude de cibles. Sous-traitant qui serait ici Kitsoft, une entreprise ukrainienne de logiciels qui s’occupe, entre autres, de plusieurs sites gouvernementaux.

Dans un post Facebook paré d’émojis, l’entreprise a réagi ce 17 janvier 2022 en reconnaissant sa responsabilité dans l’attaque : « l’infrastructure de Kitsoft a aussi été endommagée pendant la cyberattaque. Ce que nos spécialistes ont identifié comme un des moyens utilisés par l’attaque pour se propager ».

«Une attaque qui vise à semer la panique »

« Il ne s’agit pas que d’un hack de sites internet, c’est une attaque qui vise à semer la panique, la peur, à déstabiliser [l’Ukraine] », poursuit Kitsoft. Le renseignement et la police ukrainienne ne se risquent pas à en attribuer la responsabilité, mais pour le ministère de la Transformation numérique, c’est la Russie qui est derrière ces agressions.

Ces soupçons sont évidemment portés par les tensions géopolitiques entre Kiev et Moscou, la guerre en cours dans le Donbass depuis 2014 et les troupes russes amassés autour du pays depuis maintenant un an, avec la peur d’une escalade militaire généralisée. Mais surtout, depuis 2015, et surtout en 2017, l’Ukraine est la cible répétée de cyberattaques dévastatrices contre ses infrastructures, que le pays et ses alliés attribuent très officiellement à la Russie.